Зараження користувачів відбувається за допомогою drive-by атаки на браузер і його компоненти через набір експлойтів Bleeding Life. Зокрема, атаці піддаються модулі Acrobat Reader і JAVA.
Якщо комп'ютер користувача виявиться вразливим перед експлойта, то в системі влаштується троянський завантажувач MAX ++, що визначає розрядність системи, на якій він запущений. Відповідно до цього, він завантажить необхідний інсталятор бекдора MAX ++ (Backdoor.Win32.ZAccess.a / Backdoor.Win64.ZAccess.b).
файл, який представляє собою віртуальний тому, форматований в файлову систему NTFS, з яким працює драйвер шкідливої програми. На ньому ж і зберігаються всі модулі бекдора.
Якщо завантажувач був запущений на x64 системі, то на комп'ютер жертви завантажується інсталятор бекдора, спеціально скомпільований для роботи на 64-розрядних системах. Цей бекдор не містить руткіт, а являє собою usermode-зловредів, який повторює роботу руткита під x32 з тією лише різницею, що його компоненти являють собою файли і зберігаються в
маючи подібну структуру каталогів.
Автозапуск на x64 забезпечується ключем реєстру
Саме тіло бекдора розташоване в системній папці system32 з ім'ям consrv.dll. Модулі, викачують Бекдор після своєї інсталяції, також призначені для 64-бітної платформи. Установка x64 MAX ++ досягається шляхом впровадження в services.exe з використанням функції ntdll! NtQueueApcThread. Труднощі лікування зараженої x64 системи пов'язана з ключем автозапуску зловреда: якщо видалити файл, що не виправивши ключ реєстру, то система вже не зможе завантажитися, а замість цього буде видавати BSOD на певному етапі завантаження.